كيفية تكوين Sysmon و Wincolet مع Qradar
Posted inالأدوات والأخبار تكنو فيوتشر معلومات تقنية

كيفية تكوين Sysmon و Wincolet مع Qradar

No Comments

كيفية تثبيت Wincollet مع Sysmon تحت Windows لإرسال سجلات إلى Qeradar.

تأكد من تثبيت Microsoft .NET Framework 3.5 على كمبيوتر Windows. ثم قم بتنزيل ملف تكوين Sysmon و SysmonConfig-Export.xml. أضف الملف إلى نفس الدليل القابل للتنفيذ وفتح طلب الإدخال (CMD) إلى الدليل لاستخدام الأمر التالي وإنهاء تكوين Sysmon:

[Sysmon64.exe -i sysmonconfig-export.xml]

قم بتنزيل WinCollect-7.3.1-43.x64.exe و Wincollect المستقلة-إنستول-7.3.1-43.exe للإصدار 7.5.0 بواسطة Qradar. قم أولاً بتنفيذ ملف WinCollect-7.3.1-43.x64.exe ، اقبل الترخيص أثناء عملية التثبيت والتقدم إلى الجزء الذي يطلب فيه نوع الإعداد.

حدد “اكتب الإعداد” “الوقوف بمفرده” على شاشة “الإعداد”. ثم حدد “إنشاء مصدر المصدر”> أدخل اسمًا ومعرفًا لتسجيل المصدر> فقط “الأمان” و “النظام” ودفعه للأمام مرة أخرى. على الشاشة التالية ، اكتب “الاسم الهدف” أي اسم وفي “اسم المضيف / IP” الخاص بك QRADAR -P والمنفذ القياسي 514 ضمن بروتوكول TCP. إذا انتقلت إلى الأمام الآن ، فدع الإعدادات الافتراضية لأعلى للتثبيت.

بعد تثبيت Wincollect المستقلة التصحيح intall-7.3.1-43.exe ، قم بإجراء التثبيت القياسي بنفس “اسم المستخدم” الذي استخدمته من قبل.

من أجل جعل من الممكن التعرف على الهجمات الصعبة التي تستخدم PowerShell ، يجب عليك تغيير سجل بيانات Windows مع الأوامر التالية ، وفتح CMD كمسؤول وتنفيذ واحدة تلو الأخرى:

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging /f /v EnableScriptBlockLogging /t REG_DWORD /d 1]

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging /f /v EnableModuleLogging /t REG_DWORD /d 1]

[REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames /f /v “*” /t REG_SZ /d “*”]

يمكنك التحقق مما إذا كان تغيير التسجيل يعمل عن طريق التحقق من الأوامر التالية. يجب أن يحتوي الإخراج في الأولين و ” * reg_sz *” في الأخير.

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging]

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging]

[REG QUERY HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames]

افتح الآن برنامج “Wincollect Configuration Console” (يجب أن يكون لديك التصحيح المثبت للعثور على البرنامج في قائمة START). تمديد “الأجهزة”> “بروتوكول حدث Microsoft Windows” ثم يمكنك إلغاء تنشيطه في الخيار الأول “الأمان” و “النظام” وإضافة رمز XML التالي إلى حقل “XPath Query”:

[

 

   

   

   

   

   

 

]

في الزاوية اليمنى العليا ، انقر فوق “تقديم التغييرات” والبروتوكولات جاهزة لإرسالها إلى QRADAR. يمكن فحص مزيد من المعلومات حول الإجراء هنا.

مصدر مرجعي

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *